構成

• SP：mod_auth_mellon (with Apache HTTP Server)
• IdP：AzureAD
• アプリ：Tomcat

実現したいこと

• SAML認証を行い、Tomcatへのアクセス制御を行う。
• AzureADのキー(仮にemailとする)値を、Tomcatに渡したい。
• Tomcatには、リクエストヘッダーにUSERNAMEというキー名で値を引き渡したい。

失敗例

mod_auth_mellonのマニュアルを参照した。
mod_auth_mellon User Guide
そこには、SAMLから受け取った値は、デフォルトでは "MELLON_" + "定義した名前"で取得できるとのこと。
なお、記述っぷりを参考にしたい場合は、GitHub側を見れば"MELLON_"部分の変え方も含め、readmeに綺麗に記載してくれている。
github.com
よって、以下の様に書いていたが、値を受け取れなかった。

(中略)
    RequestHeader set USERNAME %{MELLON_email}e

対応方法

(もしかしたら最適解でないのかもしれないが、)以下で対応できた。

(中略)
    RequestHeader set USERNAME %{MELLON_http://schemas.microsoft.com/identity/claims/email}e

発見方法

mellon_diagnoticsやMellonSamlResponseDump、mod_dumpioなど色々試したが、
そもそもログを出力させれなかったり、欲しい情報を得ることができなかった。
すると、元々FireFoxのプラグインで今はChromeにも提供されているsaml-tracerという拡張機能を見つけれた。
chrome.google.com
当拡張機能を用いることでSAML通信の中身を見ることに成功した。
結果、以下の様な値が返却されていることが確認できた。

(中略)
<AttributeStatement>
  <AttributeStatement>
    <Attribute Name="http://schemas.microsoft.com/identity/claims/email">
      <AttributeValue>hoge1@hoge.com</AttributeValue>
(以下略)

省略して記載する方法があるかもしれないが、このまま記載することで無事値取得に成功した。

参考リンク

ameblo.jp

ひと目でわかるAzure Active Directory 第3版

• 作者:エディフィストラーニング株式会社 竹島 友理
• 日経BP

Amazon

ひと目でわかるIntune 改訂新版 (マイクロソフト関連書)

• 作者:国井 傑,新井 慎太朗,大須賀 謙太
• 日経BP

Amazon

サーバ構築の実際がわかる Apache[実践]運用/管理 (Software Design plus)

• 作者:鶴長 鎮一
• 技術評論社

Amazon

事象

mysqldumpでビューやトリガーを含むダンプを取得した。
その後、別インスタンスにロードした。
すると、ビューが動かなくなった。
ビューの定義を確認すると以下の様な定義に置き換わっていた。

CREATE ALGORITHM=UNDEFINED DEFINER=`userhoge`@`%` SQL SECURITY DEFINER VIEW `dbhoge`.`view_hoge` AS select 1

なお、ダンプ、ロードに使用したユーザーは移行元、移行先のどちらにも存在している。

原因

移行先にユーザーは存在しなかったため。
正確には、微妙に違うかった。

誤) `userhoge`@`%`
正) `userhoge`@`localhost`

結果、違うユーザーと認識されてしまったようである。

対応方法

取得したダンプを直接編集して、`userhoge`@`localhost` に変更する。
なお、移行元はユーザーが上記2つそれぞれ存在し、移行先はユーザーが1つのみというのも敗因である。
但し、セキュリティと利便性の関係上これは致し方無なので、都度変更する整理とした。
(%のユーザーを作成していると、localhostで接続しても%側が勝つという仕様を読んだ様な…[自信無いし未調査])

補記事項

select * from information_schema.VIEWS where TABLE_SCHEMA = 'dbhoge';

select * from information_schema.ROUTINES where ROUTINE_SCHEMA = 'dbhoge';

定義後の書換え方法

• VIEW

alter文で書き換えするしかない

show create view ビュー名

取得した情報をalterに変更し、実行する。
(1個、2個位ならMySQL workbench上でやると楽)

• procedure

同様にalter文で書き換えするしかない

show create procedure プロシージャ名

取得した情報をalterに変更し、実行する。
(こちらも1個、2個位ならMySQL workbench上でやると楽)

MySQL徹底入門 第4版 MySQL 8.0対応

• 作者:yoku0825,坂井 恵,鶴長 鎮一,とみた まさひろ,深町 日出海,福山 裕大,班石 悦夫,山﨑 由章
• 翔泳社

Amazon

これからはじめる MySQL入門

• 作者:小笠原 種高
• 技術評論社

Amazon

用語解説

アンダーフェッチング：必要なデータが取得できていないこと
オーバーフェッチング：必要以上のデータを取得していること
(特集2 GraphQL完全ガイド 第一章GraphQLの基本仕様より)

GraphQLの利点

GraphQLでは必要なデータを指定できるので、オーバーフェッチング問題を解決できる。
記事中のREST APIとGraphQLのリクエストとレスポンスの比較がとても分かりやすかった。
(今までGraphQL懐疑的であったが、ようやく利点が納得できた)

WEB+DB PRESS Vol.125

• 技術評論社

Amazon

基礎からはじめるGraphQL

• 作者:志村翔太

Amazon

Web APIの設計

• 作者:Arnaud Lauret
• 翔泳社

Amazon